Recent onderzoek laat zien dat Nederlandse bedrijven nog lang niet klaar zijn voor de invoering van de Algemene Verordening Gegevensbescherming (of GDPR). Hoewel de digitale transformatie doorzet, blijft de kennis van interne processen, datastromen en verantwoordelijkheden duidelijk achter. Het wordt hoog tijd dat bedrijven realistisch naar hun digitale veiligheid gaan kijken en een serieus securitybeleid gaan voeren.

We weten steeds beter hoe we moeten omgaan met de enorme hoeveelheden data die we genereren, en we vinden steeds meer manieren om nog meer data op te roepen door alle apparaten die we hebben vol te hangen met sensoren. We zijn druk bezig uit te zoeken wat de impact van al die data zal zijn en wat de beste toepassingen worden van data-analyse en kunstmatige intelligentie. Dat het onze maatschappij ingrijpend gaat veranderen, wordt steeds duidelijker.

Maar of het ons ook veiliger maakt, is nog maar de vraag. De meeste nieuwe oplossingen zijn tamelijk prozaïsch. Bij het woord ‘robots’ denken veel mensen bijvoorbeeld nog steeds vooral aan Terminators of de huishoudster uit The Jetsons, maar de robots die we tegenwoordig zien, zijn vooral softwarematige versies die standaardtaken automatiseren. De winst die dat oplevert, is er niet minder om: als we kijken hoe ‘the future of work’ eruitziet, is het vooral een toekomst waarin we ons bevrijden van heleboel taken die we nu voor lief nemen, maar die eigenlijk niet tot onze kerntaken behoren.

Dat klinkt heel bevrijdend – maar tegelijkertijd zien we ook de opkomst van een serieuze dreiging die serieus roet in ons eten begint te gooien. Cybersecurity is niet het favoriete onderwerp van de meeste managers, maar we zullen er iets mee moeten doen. Want zo langzamerhand begint het erop te lijken dat alle spookverhalen waarmee securityspecialisten ons decennialang tot actie probeerden te bewegen, allemaal bewaarheid worden.

Gebrek aan inzicht

Een groot deel van het probleem heeft eenvoudigweg te maken met het feit dat de meeste bestuurders (in feite veruit de meeste mensen) onvoldoende inzicht hebben in wat cybersecurity eigenlijk betekent. Je gelooft misschien dat dit voor jou niet geldt. Maar waarschijnlijk zijn de enige mensen die een juiste inschatting maken van de huidige dreiging, de mensen die weten dat ze niet alles weten.
Ongetwijfeld heb je weleens gelezen over IoT-apparaten die zonder enige beveiliging data over het internet versturen. Je begreep natuurlijk direct dat dit een probleem is. Beetje slordig. Maar heb je ook meegekregen dat WPA-2, het protocol dat gebruikt wordt om zo’n beetje alle moderne wifi-verbindingen die wel beveiligd zijn te versleutelen, ook al een hele tijd lek bleek te zijn? Als dat al niet meer te vertrouwen is, wat moet je dan als brave burger? De neiging om het te negeren is groot.

Follow The Money onthulde onlangs hoe simpel het is (was?) om mailtjes te sturen uit naam van Mark Rutte of de AIVD. Gevolg van een lek dat al lang geleden geconstateerd en gemeld was, maar waarvan niemand de moeite had genomen het te dichten. Hoeveel van dat soort lekken heb jij in je organisatie? Vermoedelijk heb je geen flauw idee. En dat is het probleem. We weten te weinig. En we willen het niet weten.

Onderzoek

Citrix heeft onlangs een onderzoek laten uitvoeren onder 250 Nederlandse IT-executives en cybersecurityspecialisten. Aanleiding was de aanstaande Algemene Verordening Gegevensbescherming (AvG) die in mei 2018 vanuit Brussel op ons af komt. Ook zoiets waarover je ongetwijfeld al heel vaak hebt gehoord en gelezen. Maar heb je er ook iets mee gedaan? Dat is precies waar het onderzoek over ging.
Het is wel duidelijk dat het opslaan van persoonlijke gegevens tegenwoordig heel gewoon is. In het onderzoek zegt slechts 4 procent van de respondenten dat niet te doen. Sterker: ruim een kwart gaf aan iedere dag de persoonlijke data van meer dan duizend personen op te slaan. 38,75 procent gebruikt al die persoonlijke gegevens voor interne analyses. Bijvoorbeeld om koopgewoonten in kaart te brengen. 13,3 procent van de respondenten deelt die gegevens met meer dan honderd bedrijven…

Mag dat zomaar? Dat hangt ervan af. Maar dat zou je eigenlijk niet aan mij moeten vragen, dat zou je moeten weten! De kans is helaas groot dat je dat niet kunt weten, omdat maar heel weinig organisaties werkelijk goed in kaart hebben gebracht wat er met hun data op hun netwerken gebeurt. 18,75 procent van de respondenten in het onderzoek heeft bijvoorbeeld geen idee hoe lang persoonlijke gegevens bewaard worden. En op de vraag wie er eigenlijk verantwoordelijk is voor de naleving van de AvG, heeft bijna een vijfde deel van de respondenten in het onderzoek geen antwoord.

Wie controleert?

Je zou jezelf gerust kunnen stellen door ervan uit te gaan dat de mensen die dit soort dingen werkelijk moeten weten, vast wel de juiste maatregelen zullen nemen als het erop aankomt. Maar dan wijs ik graag opnieuw op de gaten in de mailservers van onze regering. En op het feit dat bijna 20 procent van de respondenten in het Citrix-onderzoek aangeeft dat er slechts eens per maand, of zelfs nog minder, een back-up wordt gemaakt. Er zijn allerlei maatregelen waarvan iedereen denkt dat ze vast wel genomen zullen worden. Maar waarvan keer op keer blijkt dat niemand nagaat of het ook werkelijk gebeurt.

Het journalistieke onderzoekscollectief Investico publiceerde onlangs in De Groene Amsterdammer dat de gegevens van miljoenen Nederlanders zijn opgenomen in de databases van commerciële databedrijven die de gegevens bovendien druk uitwisselen. Dat mag niet. Maar het gebeurt wel. De Autoriteit Persoonsgegevens doet er tot nu toe weinig aan. En wat de EU er straks mee gaat doen als de AvG van kracht wordt, is niet duidelijk – alle grote woorden over torenhoge boetes ten spijt. Maar wat je je vooral zou moeten afvragen, is wat je eigen organisatie eigenlijk doet. Het antwoord is hoogstwaarschijnlijk dat je dat niet weet. Daar moet verandering in komen. Maar hoe?

Een nieuwe aanpak

Laten we om te beginnen vaststellen dat dit niet iets is wat je alleen kunt oplossen. Het is zelfs geen probleem waar je organisatie in zijn eentje een antwoord op vindt. Zelfs al zou je de budgetten hebben om fors te investeren in cybersecurity. Want waar zou je dan de mensen vandaan moeten halen? Een enkele cybercrimineel kan op zijn gemak op zoek gaan naar kwetsbaarheden in iedere organisatie naar keuze; en daar zouden al die organisaties dan elk een sterkere cybersecurityspecialist tegenover moeten zetten? Die mensen zijn nu al zeldzaam en peperduur!

Het antwoord ligt in een andere securityaanpak. De eerste stap die we daarin kunnen zetten, ligt op het vlak van de IT, en heeft te maken met de complexiteit waar we allemaal vanaf willen. Vanuit de IT wordt gemakkelijk geroepen dat de mens de zwakste schakel is. Maar andersom is het verstandiger te stellen dat we IT beter moeten afstemmen op de mens. Veilig IT-gebruik moet vanzelfsprekend zijn. Het feit dat het bij veel organisaties nog zo gemakkelijk is om iets ‘verkeerd’ te doen, zodat er gaten vallen in de verdediging of gevoelige data op straat komt te liggen, is eigenlijk heel erg. IT-middelen zouden standaard zo veilig moeten zijn dat onveilig gebruik alleen nog mogelijk is door bewust de beveiliging te omzeilen.

De tweede stap is dat we onze beveiliging moeten aanpassen. Preventie is belangrijk, maar juist omdat moedwillig misbruik bijna niet te voorkomen is, zullen we hulpmiddelen moeten inzetten die ons op een andere manier gaan beschermen. Citrix bijvoorbeeld gebruikt inmiddels data-analyse voor monitoring en detectie: door normaal gedrag op het bedrijfsnetwerk te analyseren, worden afwijkingen snel geconstateerd en kan direct worden ingegrepen als er met gegevens iets gebeurt wat wettelijk niet is toegestaan, of wat door de organisatie als onwenselijk wordt beschouwd. Als iemand dan besluit bewust de beveiliging te omzeilen, moeten we dat direct kunnen zien en alarm slaan.

Analyse betekent bovendien inzicht: goede analyse zorgt ervoor dat de organisatie weet waar de zwakke punten zitten, en helpt de juiste maatregelen te nemen. Inzicht is de enige manier om een realistische inschatting te kunnen maken van de bestaande veiligheidssituatie. De AvG eist dat organisaties die veel met gevoelige data werken een functionaris gegevensbescherming in dienst nemen. Uit het Citrix-onderzoek blijkt dat nog maar 17 procent van de organisaties nu zo’n functionaris heeft. Data-analyse maakt het werk van zo’n functionaris gegevensbescherming vele malen eenvoudiger, en geeft een veel duidelijker beeld van wat zich op de netwerken afspeelt.

Samenwerking

Tot slot is het zaak op zoek te gaan naar betere samenwerking. Niet iedereen moet fulltime de allerbeste securityspecialisten in huis willen hebben. Maar als je systemen alarm slaan en er inderdaad wat lijkt te gebeuren, moet je wel toegang hebben tot partners die je snel en adequaat kunnen helpen.

Tegelijkertijd is er in deze wereld waarin steeds meer off- en onlinesystemen en -diensten met elkaar vervlochten raken, maar één manier om de kans op misbruik zo klein mogelijk te maken, en dat is door uitsluitend partners te selecteren die security in alles wat ze doen bovenaan hebben staan. Zoek een IT-leverancier die zichzelf een securitybedrijf durft te noemen. Want IT zonder security is iets waar we met zijn allen zo snel mogelijk vanaf moeten.